Python官方库SSH Decorator被曝后门：可窃取SSH凭证

在代码库中隐藏后门的最后一次尝试已经过去了一个星期，今天我们又有了一个新的案例。这一次，后门是在一个Python模块中找到的，而不是一个npm (JavaScript)包。

该模块的名称是SSH Decorator (SSH Decorator, SSH -修饰)，由以色列开发人员Uri Goren开发，该库用于处理来自Python代码的SSH连接。

周一，另一个开发人员注意到，SSH修饰模块的多个最新版本包含了收集用户SSH凭证的代码，并将数据发送到位于以下的远程服务器：

开发人员：后门是黑客的结果

在这个问题引起他的注意之后，Goren说，后门不是故意的，是黑客的结果。

他说：“我已经更新了PyPI密码，并将这个包裹重新贴在了一个新名字“ssh-decorator”上。“我还更新了存储库的readme，以确保我的用户也知道这个件。”README文件写道：

它已经引起了我们的注意，这个模块以前的版本被非法劫持并上传到PyPi。在使用此包之前，请务必查看此包的代码(或任何其他要求您的凭证的包)。

但在昨天这一事件成为Reddit的热门话题之后，一些人向他提出了一些指责，Goren决定将这个包裹从GitHub和PyPI (Python central repo hub)中删除。

如果您仍然在您的项目中使用SH Decorator (ssh-修饰)模块，那么最后一个安全版本是0.27。版本0.28到0.31被认为是恶意的。

注意：不仅后门插入了，而且您的SSH密钥在未加密的线路上飞行。所以任何嗅探你的网络或网络服务器的人都有你的东西。

-米奇(@Viking_Sec) 2018年5月8日。

以前也有过类似事件

这也不是图书馆第一次在中央代码库中被备份和上载。最后一件事发生在上周，当时npm团队发现了一种巧妙隐藏的后门，从而进入了一个流行的软件包。

在2017年8月，同样的npm团队也删除了38个JavaScript npm包，它们从被感染的项目中窃取环境变量。

PyPI - Python包索引也发生了类似的事情——Python编程语言的官方第三方软件存储库。在2017年9月，斯洛伐克国家安全办公室(NBU)发现并报告了在PyPI上的10个恶意Python包，并立即删除。